<div dir="ltr"><div>HI,</div><div><br></div><div>My question is more towards IKEv2 standard rather strongswan explicitly.</div><div>UDP encasulation is used for NATT traversal in IPsec for both ESP/IKE.</div><div><br></div><div>RFC 5996, says even if NATT is not detection sending IKE/ESP on 4500 is optional but receiving should be handled. </div><div>RFC 5666 reference:</div><div><i>"When either side is using port 4500, sending ESP with UDP encapsulation is</i></div><div><i>   not required, but understanding received UDP-encapsulated ESP packets is required"</i></div><div><br></div><div>Having said that this all fine for IPv4, but for IPv6 is it possible that NATT is not detection and still IKE/ESP exchanges are done on port 4500 as UDP encapsulated.</div><div><br></div><div>One reference from RFC I can is below which says that IKE/ESP can always be on port 4500 even if NAT not detected, but not clear whether same is applicable for IPv6 as well.</div><div><i>" IKEv2 will use UDP encapsulation of IKE and ESP packets. This encoding is slightly less</i></div><div><i>   efficient but is easier for NATs to process.  In addition, firewalls</i></div><div><i>   may be configured to pass UDP-encapsulated IPsec traffic but not plain, unencapsulated ESP/AH or vice versa."</i></div><div><br></div><div>Any opinion or suggestion for same will appreciated.</div><div><br></div><div>Thanks</div><div>Mukesh</div></div>